Eine Sicherheitslücke in Zusammenhang mit virtuellen Kreditkarten macht Nutzern des beliebten Online-Bezahldienstes Paypal sorgen. Dadurch werden laut aktueller Berichte unerlaubte Abbuchungen in drei- bis vierstelliger Höhe getätigt.
Wer ist von dem Problem betroffen? Vieles spricht dafür, dass die Abbuchungen nur in Zusammenhang mit einer Verknüpfung des Paypal-Kontos mit Google Pay auftreten. Google Pay dient unter anderem dazu, Einkäufe über einen NFC-Chip (»NFC« = »Near Field Communication«) per Mobilgerät zu bezahlen.
Wo liegt der Sicherheitsfehler? Wie Heise Online berichtet, lässt sich die bei dieser Verknüpfung automatisch angelegte virtuelle Paypal-Kreditkarte auch mit anderen Google-Pay-Installationen nutzen als mit derjenigen, über die sie erstellt wurde, da nur die Kartennummer überprüft werde und keine weiteren Sicherheitsmaßnahmen wie etwa die Prüfziffer oder das Ablaufdatum zum Einsatz kämen.
Wie gelangen die Betrüger an die Kreditkarten-Daten? Vermutlich per Brute-Force-Verfahren, also über das Ausprobieren verschiedener Zahlenkombinationen. Das wird im Falle der Paypal-Kreditkarten deutlich erleichtert, weil ihre ersten acht Ziffern immer identisch sind, worauf der Sicherheitsforscher Markus Fenske im folgenden Twitter-Beitrag hinweist.
Link zum Twitter-Inhalt
Problem seit einem Jahr bekannt
Fenske hatte Paypal nach eigenen Angaben bereits vor etwa einem Jahr auf die Probleme hingewiesen. Paypal gab in einem aktuellen Statement an, dass die Lücke geschlossen sei, dem widerspricht Fenske allerdings.
Wie kann man sich schützen? Fenske empfiehlt laut Heise, die entsprechenden Abbuchungsvereinbarungen mit Google Pay bei Paypal zu deaktivieren. Dazu muss man folgendermaßen vorgehen:
- Nach dem Einloggen in das Paypal-Konto oben rechts über das Zahnrad die Einstellungen öffnen.
- Die Option »Zahlungen« auswählen
- Neben »Verwalten sie Zahlungen im Einzugsverfahren« auf »Anzeigen« klicken
- Abbuchungsvereinbarungen von Google Inc. deaktivieren
Bis Klarheit darüber herrscht, ob das Problem behoben ist, sollte auch von neuen Verknüpfungen zwischen Paypal und Google Pay abgesehen werden.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.